web安全
关注
分享
扫一扫
文章平均质量分 62
卫恪游
每一个不曾起舞的日子,都是对生命的辜负。
展开
-
WEB安全-跨站脚本攻击XSS
XSS(跨站脚本攻击)定义浏览器将用户输入的内容,当做脚本执行,执行了恶意的功能,这种针对用户浏览器的攻击即跨站脚本攻击。类型主要分为三种类型:反射型存储型DOM 型XSS 危害盗取 Cookie盗取账户恶意软件下载键盘记录广告引流等等 JavaScript 能够写出的任意恶意功能反射型 XSS应用程序或 API 包括未经验证或未经转义的用户输入, 直接作为HTML 输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的 HTML 和 Java原创 2021-09-08 18:26:36 · 170 阅读 · 0 评论 -
burpsuite实践-越权漏洞测试思路一
写在前面本文涉及到三种越权思路,每种方式分别对应了一个实际的案例分享。这是自己在平时的测试中积累并值得分享的一些测试经验,可能不能将问题探究到多深入,希望文中的思路能有所用。修改返回包的越权前情提要“修改返回包”这个越权的应用场景是一个请求使用加密算法加密请求的应用系统,测试过程中几乎所有的请求均加密,返回包为明文,此处可以使用如下案例中的方式进行越权测试。案例分享功能...转载 2019-08-26 15:42:42 · 2436 阅读 · 0 评论 -
burpsuite实践-越权漏洞测试思路二
“躲起来的”Form表单1. 场景就像小节标题提到的一样,留意那些“躲起来的”Form表单,很多场景下你是否遇到过点击触发一个功能请求,但是返回的是空白或者“无记录”的提示,请求中不包含任何用户参数,这个时候你留意了,是不是有什么东西是你遗漏掉了,遗漏了什么触发条件?2. 案例如图有一个这样的功能点,点击“信用卡”功能后,请求返回告诉你,该用户查询无记录。这个时候你要淡定了,So...转载 2019-08-26 15:45:39 · 1237 阅读 · 0 评论